0、寫在前面 本來只想做個驗證碼的功能實現，后來想想光要驗證碼也不行，干脆寫整個防爆破的實現吧 1、防護軟件/硬件Waf/Web服務器限制單IP固定時間段的登陸頻率 1.1 作用 通過WAF可以實現某一個IP訪問頻率過高時則將此IP加入黑名單一段時間 通過Nginx等Web服務器 ...

前言 現代程序開發中身份驗證、授權是一件非常非常復雜的事情（各種登陸方式、各種授權需求、各種跳轉跳、各種加解密，搞得得頭皮發麻），因為事情本身復雜，所以沒把這件事理清楚之前，無論你用什么語言、什么框架、什么方式都很難做到既簡單又具有可擴展性。我的想法是既然我自己做不到，那就搞懂身份驗證和授權 ...

本文基於python3.4的selenium庫打開瀏覽器，並將瀏覽器中的登陸cookie保存到本地，那么下次登陸就可以直接利用cookie了： 由於selenium庫支持低版本的瀏覽器，例如本文的谷歌瀏覽器需要下載插件，並將插件放到目錄C:\Python34即可 ...

拿DVWA舉例子。環境百度自行搭建。 開啟burpsuite 選擇temporary project(臨時工程) 選擇默認配置進入后，訪問127.0.0.1:8080 安裝證書 將這個intercept 關掉 顯示 intercept is off 即可 進入網站后 ...

之前一直使用Burpsuite對某個接口進行身份證號碼爆破，500個號碼幾分鍾就可以快速爆破完。 但近期再次嘗試爆破時發現該站點做了防護，導致爆破過程會出現錯誤頁面，於是決定調整思路，放慢爆破速度，采用延時爆破。 修改Burpsuite中Intruder模塊參數： 再次進行爆破 ...

好久沒用了，有點忘了，記一下 https://blog.csdn.net/Testfan_zhou/article/details/92977543 ...

本次使用BP的inturder模塊，測試該模塊下四種爆破方式的異同 四種方式爆破DVWA(Brute Force)測試 工具：burpsuite，使用intruder模塊 環境：DVWA，security設置為low 1、sniper 兩個參數 ...

在登陸界面，讓用戶選擇是手動登陸，還是微信授權登陸。 如果是微信授權登陸（思路）：微信授權登陸，判斷數據庫有沒用這個openid ①如果這個openid不存在 保存這個openid到數據庫； 然后直接跳轉 ...